Original Truecrypt 7.1a

[Magic2001]

das sehe ich dann schon anders.
Bei Dingen ohne Personenbezug muss man das nicht machen.
warum sollte man eine Filmsammlung oder Musik oder runter geladene Ebooks verschlüsseln?
Ok, vielleicht aus Angst vor Abmahnung oder so.

Sorry, ich ging einfach von allem aus was irgendwie personenbezogen, privat ist oder sonst irgendwelche persönlichen Daten einem selbst oder von anderen beinhaltet. Aber auch beim Surfen, wo komme ich her, welche Seiten habe ich heute besucht um welche Zeiten bin ich online usw usw. gehen niemanden etwas an.
Daher nutze ich auch keine sozialen Netzwerke, auch auf meinem Android Handy ist weitgehend alles vor google und co verborgen. gps ist auch aus außer ich benötige es.
Auch ansonsten vermeide ich alles wo es nur um Datensammlerei geht. Gewinnspiele, Umfragen, paybackkarten usw.

Mir ist klar, dass man sich nicht völlig verstecken kann ohne das der Aufwand zu groß wird. Aber soweit möglich, sollte man schon dagegen vorgehen.

 

[virtus]

Ich habe die zwei Sicherheitslücken gemeint, die nach dem Audit durch Googles Project Zero entdeckt wurden.

Davon wusste ich bisher nicht.

Über diese ist es z. B. möglich, dass Nutzer B Zugriff auf die gemounteten TrueCrypt-Dateien bzw. Partitionen von Nutzer A erhält (unter Windows) und diese auch noch unter Umständen manipulieren kann.

Das liegt dann aber an Windows, nicht zwangsweise an TrueCrypt, oder? Normalerweise sollte Nutzer A keinen Zugriff auf Mounts von Nutzer B haben, was das Rechtemanagement betrifft.

Aber Theorie und Praxis...

Klar, es bringt auch kein bombensicheres Crypto-System etwas, wenn der Nutzer "password" als Passwort gewählt hat.

Davon abgesehen, wer kann mit Sicherheit sagen, dass in TrueCrypt nicht noch irgendwo eine Sicherheitslücke steckt? Zwei wurden beim Audit ja schon übersehen. Hier auf ein faktisch totes Pferd zu setzen macht keinen Sinn.

Nun das Problem hast du aber mit jeder Software. Folglich stehen alle Systeme gleich gut bzw. gleich schlecht da. Außerdem ist die Wahrscheinlichkeit geringer, dass unentdeckte Schwachstellen bestehen, je mehr Audits einer Software durchgeführt wurden. Ein neueres System ist daher potentiell unsicherer, als eines, von dem schon 2 Audits durchgeführt wurden.

Zudem, wer verschlüsselte Daten in einer Cloud ablegt muss sich auch fragen, wo würde er suchen wenn er irgendwas dementsprechendes finden wollte?
In einem von Milliarden Cloud-Accounts wo alles offen liegt, oder in einem von Millionen accounts in denen alles verschlüsselt ist? ;-)

Vorausgesetzt die Verschlüsselung ist sicher, was bringt es denn? Selbst wenn du dank deines siebten Sinnes wüsstest, dass sich eine Liste der nächsten Anschlagsziele in einer verschlüsselten Datei befinden, wenn du die Crypto nicht knacken kannst, wirst du nicht weiter kommen.

 

[ynbl]

Bei jeder einzelnen Truecrypt-Diskussion kommt irgendwann das Beispiel mit verschluesselten Anschlagsplaenen oder verschluesselten kinderpornographischen Inhalten. Und jedes Mal kommt ebenfalls das (zum Teil berechtigte) Argument, dass Truecrypt Schwachstellen enthaelt, die potentiell durch einen staatlichen Akteur ausgenutzt werden koennte. Und, noch einmal "jedes Mal", denke ich automatisch an das folgende Bild:



Es ist vollkommen illusorisch zu glauben, eine verschluesselte Festplatte wuerde deine Daten vor dem Zugriff durch staatliche Akteure auf dem Level einer NSA oder des GCHQ schuetzen. Wenn du es als Ottonormalverbraucher mit einem solchen Dienst aufnehmen willst hast du verloren, so einfach ist das. Und ja, die Polizei beisst sich bei einer Hausdurchsuchung erstmal die Zaehne daran aus - ohne jemanden hier zu kennen wuerde ich mal erwarten, dass ein wenig Einzelhaft bei allen Mitgliedern hier (mich keinesfalls ausgeschlossen) die Zunge enorm lockert.

Ich habe jedes meiner Geraete, inklusive Server und Smartphone, vollverschluesselt. Wenn jemand bei mir einbricht oder mich ausraubt moechte ich mir wenigstens keine Sorgen machen muessen, dass der oder die Taeter nachtraeglich auch noch mein Konto ausraeumen oder unter meinem Namen Goatse in sozialen Netzwerken posten. Threat modeling is important!

 

[sia]

ohne jemanden hier zu kennen wuerde ich mal erwarten, dass ein wenig Einzelhaft bei allen Mitgliedern hier (mich keinesfalls ausgeschlossen) die Zunge enorm lockert.

Quatsch, wir kennen das doch alle aus NCIS und 24 – die Terroristen halten dicht! Und ich würde die paar Ampere mit der Autobatterie auch aushalten. Wir sind ja hier alle ganz krasse Geheimagenten!

Und ja, genau deswegen verschlüsseln die meisten hier, die nicht einen auf Wichtigtuer machen. Die NSA ist dabei nur ein leicht greifbares Beispiel für einen Akteur mit vielen Ressourcen, quasi das semi-worst-case-Szenario.

EDIT: btw, LUKS Nuke würde recht geil sein, denke ich. Da guckt sogar die NSA blöd, weil man ja selbst mit dem richtigen Passwort nicht mehr dran kommt.

 

[ynbl]

Quatsch, wir kennen das doch alle aus NCIS und 24 – die Terroristen halten dicht! Und ich würde die paar Ampere mit der Autobatterie auch aushalten. Wir sind ja hier alle ganz krasse Geheimagenten!

Geh, das bisschen Autobatterie ist doch einfach nur eine nette Reizstromtherapie. Sieh das doch nicht immer so eng!

EDIT: btw, LUKS Nuke würde recht geil sein, denke ich. Da guckt sogar die NSA blöd, weil man ja selbst mit dem richtigen Passwort nicht mehr dran kommt.

Zu meinen Paranoiahochzeiten vor ein paar Jahren hab ich ein Skript verwendet, dass automatisch die Festplatte 'geshreddert' hat, wenn ein bestimmter USB-Stick abgezogen wuerde, .. meine Fresse, war ich damals bloed.

 

[sia]

Was passiert dann, wenn der Stick kaputt ist oder sich aus Spaß abmeldet? Backups wären ja zu unsicher.

Darüber sollte man sich auch Gedanken machen. Mein Server ist auch LUKS verschlüsselt, aber nur die Datenpartition. Wenn der läuft, kann man einfach ein paar Monate auf ein 0day warten und muss nichts knacken.

Wenn jemandem das möglich ist, sitze ich aber eh in U-Haft, Guantanamo oder schwimme bei den Fischen, daher ist mir das Szenario egal.

https://ngb.to/threads/22943-Hardwarediebstahl-vermeiden

 

[ynbl]

Was passiert dann, wenn der Stick kaputt ist oder sich aus Spaß abmeldet? Backups wären ja zu unsicher.

Du darfst jetzt drei Mal raten, was mir passiert ist ..